Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология (ИТ). Практические правила управления информационной безопасностью

     7.1 Охраняемые зоны


Цель: предотвращение неавторизованного доступа, повреждения и воздействия в отношении помещений и информации организации.

Средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия.

Уровень защищенности должен быть соразмерен с идентифицированными рисками. С целью минимизации риска неавторизованного доступа или повреждения бумажных документов, носителей данных и средств обработки информации, рекомендуется внедрить политику "чистого стола" и "чистого экрана".

7.1.1 Периметр охраняемой зоны

Физическая защита может быть достигнута созданием нескольких физических барьеров (преград) вокруг помещений компании и средств обработки информации. Барьеры устанавливают отдельные периметры безопасности, каждый из которых обеспечивает усиление защиты в целом. Организациям следует использовать периметры безопасности для защиты зон расположения средств обработки информации (7.1.3). Периметр безопасности - это граница, создающая барьер, например, проходная, оборудованная средствами контроля входа (въезда) по идентификационным карточкам или сотрудник на стойке регистрации. Расположение и уровень защиты (стойкости) каждого барьера зависят от результатов оценки рисков.

Рекомендуется рассматривать и внедрять при необходимости следующие мероприятия по обеспечению информационной безопасности:

- периметр безопасности должен быть четко определен;

- периметр здания или помещений, где расположены средства обработки информации, должен быть физически сплошным (то есть не должно быть никаких промежутков в периметре или мест, через которые можно было бы легко проникнуть). Внешние стены помещений должны иметь достаточно прочную конструкцию, а все внешние двери должны быть соответствующим образом защищены от неавторизованного доступа, например, оснащены устройствами контроля доступа, шлагбаумами, сигнализацией, замками и т.п.;

- должна быть выделенная и укомплектованная персоналом зона регистрации посетителей или должны существовать другие мероприятия по управлению физическим доступом в помещения или здания. Доступ в помещения и здания должен быть предоставлен только авторизованному персоналу;

- физические барьеры, в случае необходимости, должны быть расширены от пола до потолка, для предотвращения неавторизованных проникновений, а также исключения загрязнения окружающей среды в случае пожара или затоплений;

- все противопожарные выходы в периметре безопасности должны быть оборудованы аварийной сигнализацией и плотно закрываться.

7.1.2 Контроль доступа в охраняемые зоны

Зоны информационной безопасности необходимо защищать с помощью соответствующих мер контроля входа для обеспечения уверенности в том, что доступ позволен только авторизованному персоналу. Необходимо рассматривать следующие меры контроля:

- посетители зон безопасности должны сопровождаться или обладать соответствующим допуском; дату и время входа и выхода следует регистрировать. Доступ следует предоставлять только для выполнения определенных авторизованных задач. Необходимо также знакомить посетителей с требованиями безопасности и действиями на случай аварийных ситуаций;

- доступ к важной информации и средствам ее обработки должен контролироваться и предоставляться только авторизованным лицам. Следует использовать средства аутентификации, например, карты доступа плюс PIN-код для авторизации и предоставления соответствующего доступа. Необходимо также надежным образом проводить аудит журналов регистрации доступа;

- необходимо требовать, чтобы весь персонал носил признаки видимой идентификации, следует поощрять его внимание к незнакомым несопровождаемым посетителям, не имеющим идентификационных карт сотрудников;

- права доступа сотрудников в зоны информационной безопасности следует регулярно анализировать и пересматривать.

7.1.3 Безопасность зданий, производственных помещений и оборудования

Зона информационной безопасности может быть защищена путем закрытия на замок самого офиса или нескольких помещений внутри физического периметра безопасности, которые могут быть заперты и иметь запираемые файл-кабинеты или сейфы. При выборе и проектировании безопасной зоны следует принимать во внимание возможные последствия от пожара, наводнения, взрыва, уличных беспорядков и других форм природного или искусственного бедствия. Также следует принимать в расчет соответствующие правила и стандарты в отношении охраны здоровья и безопасности труда. Необходимо рассматривать также любые угрозы безопасности от соседних помещений, например затоплений.

При этом следует предусматривать следующие меры:

- основное оборудование должно быть расположено в местах с ограничением доступа посторонних лиц;

- здания не должны выделяться на общем фоне и должны иметь минимальные признаки своего назначения - не должны иметь очевидных вывесок вне или внутри здания, по которым можно сделать вывод о выполняемых функциях обработки информации;

- подразделения поддержки и оборудование, например, фотокопировальные устройства и факсы, должны быть расположены соответствующим образом в пределах зоны безопасности во избежание доступа, который мог бы скомпрометировать информацию;

- двери и окна необходимо запирать, когда в помещениях нет сотрудников, а также следует предусмотреть внешнюю защиту окон - особенно, низко расположенных;

- необходимо также внедрять соответствующие системы обнаружения вторжений для внешних дверей и доступных для этого окон, которые должны быть профессионально установлены и регулярно тестироваться. Свободные помещения необходимо ставить на сигнализацию. Аналогично следует оборудовать другие помещения, в которых расположены средства коммуникаций;

- необходимо физически изолировать средства обработки информации, контролируемые организацией и используемые третьей стороной;

- справочники и внутренние телефонные книги, идентифицирующие местоположения средств обработки важной информации, не должны быть доступны посторонним лицам;

- следует обеспечивать надежное хранение опасных или горючих материалов на достаточном расстоянии от зоны информационной безопасности. Большие запасы бумаги для печатающих устройств не следует хранить в зоне безопасности без соответствующих мер пожарной безопасности;